本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定使用者或角色的許可，以建立和管理知識庫
<a name="knowledge-base-prereq-permissions-general"></a>

若要讓使用者或角色執行與 Amazon Bedrock 知識庫相關的動作，您必須將授予執行動作許可的政策連接至該使用者或角色。它描述允許使用者從這些知識庫擷取資訊並從中產生回應的許可。

展開下列各節，了解如何設定特定使用案例的許可：

## 允許角色建立知識庫並進行管理
<a name="w2aac28c10c21b7b1"></a>

若要允許 IAM 角色建立知識庫、將其連線至結構化資料存放區、管理知識庫，以及啟動和管理從資料來源到知識庫的擷取任務，您必須提供 `KnowledgeBase`、`DataSource` 和 `IngestionJob` 動作的許可。若要提供標記知識庫的許可，請包含 `bedrock:TagResource` 和 `bedrock:UntagResource` 的許可。

**注意**  
如果使用者或角色已連接 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) AWS 受管政策，您可以略過此先決條件。

若要允許角色執行這些動作，請將下列政策連接至角色：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateKnowledgeBase"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KBDataSourceManagement",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase",
                "bedrock:ListKnowledgeBases",
                "bedrock:UpdateKnowledgeBase",
                "bedrock:DeleteKnowledgeBase",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:StopIngestionJob",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/*"
            ]
        }
    ]
}
```

------

建立知識庫之後，建議您將萬用字元 (*\$1*) 取代為您建立的知識庫 ID，以縮小 `KBDataSourceManagement` 陳述式中的許可範圍。

## 允許角色執行知識庫 API 操作
<a name="w2aac28c10c21b7b3"></a>

本節說明為知識庫執行 `Retrieve` 和 `RetrieveAndGenerate` API 操作所需的許可。

將下列政策連接至該角色：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetKB",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetKnowledgeBase"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "Retrieve",
            "Effect": "Allow",
            "Action": [
                "bedrock:Retrieve"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/${KnowledgeBaseId}"
            ]
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": [
                "bedrock:RetrieveAndGenerate"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

您可以移除不需要的陳述式，視您的使用案例而定：
+ `GetKB` 陳述式用於取得知識庫資訊。
+ 呼叫 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) 需要 `Retrieve` 陳述式，才能從資料存放區擷取資料。
+ 呼叫 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 需要 `RetrieveAndGenerate` 陳述式，才能從資料存放區擷取資料，並根據資料產生回應。

## 請求存取 RetrieveAndGenerate 的基礎模型
<a name="knowledge-base-prereq-structured-model-access"></a>

如果您計劃使用 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 根據從資料來源擷取的資料來產生回應，請遵循 [存取 Amazon Bedrock 基礎模型](model-access.md) 中的步驟，請求存取基礎模型以用於產生。

若要進一步限制許可，您可以忽略動作，也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊，請參閱*服務授權參考*中的下列主題：
+ [Amazon Bedrock 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – 了解動作、您可以在 `Resource` 欄位中限制其範圍的資源類型，以及您可以在 `Condition` 欄位中篩選許可的條件索引鍵。
+ [Amazon Bedrock 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – 了解 Amazon Bedrock 中的資源類型。
+ [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – 了解 Amazon Bedrock 中的條件索引鍵。